False-Positive nedir?

False-Positive genel bir terimdir, ben bugün tehdit avcısı programlar için kullanılan anlamını anlatacağım.

Bazı kullanıcılar testlerini yapıyor ve raporu bizimle paylaşıyor, False-Positive cevabını alınca bazen bunun ne anlama geldiğini bilmiyor.

False-Positive; Anti-Virüs yazılımları 3 farklı ayrım yapar, bu ayrımlar;

Zararlı: Malware

Şüpheli: Suspicious

Zararsız: Clean

Bu üç başlıkta arama yapmakla görevli Anti-Virüs zararsız yazılımı zararlı sanıp "malware" olarak işaretlerse false-positive olmuş olur.

Yani; X-Y-Z, X = C. AV; X = M

Basit anlatım: 10 adet yumurta aldınız, poşetin içerisindeki yumurtaların kırık olup olmadığını kontrol ederken gözünüze kırık bir yumurta çarptı ve kırık olduğu kanısına vardınız. Poşeti açtığınız zaman yumurtanın aslında kırık olmadığını öğrenmeniz durumudur.

F 16 Fighting Falcon dedi:

Bu üç başlıkta arama yapmakla görevli Anti-Virüs zararsız yazılımı zararlı sanıp "malware" olarak işaretlerse false-positive olmuş olur.

Genişletmek için tıkla...

Şurası hariç genel hatlarıyla doğru diyebiliriz.

3 farklı ayrım yapmazlar aslında, çok fazla alt dalı vardır. Zararlı sınıfına giren adware türevleri de mevcut, zararsız sınıfına giren RiskTool:Trojan'lar da mevcut (her ne kadar tespit imzası bu şekilde olmasa da). Yani genelleme yapmak yanlış.

False positive, AV yazılımının taradığı ilgili dosyadaki imza eşleşmesini veritabanındaki bir imza ile yanlış biçimde eşlemesi sonucu olan tespite denir. Bu yanlış eşleşmeden kastımız yanlış tehdit türü değil, uygulamanın kaynak kodlarında mevcut olan bir izin, zararlı olarak sınıflandrılmış diğer imza bilgileri ile uyuşması durumuna diyoruz. Yani uygulama zararsız, ancak barındırdığı kod "yanlış" biçimde zararlı ile eşleşmiş.

Bu durum zaman zaman davranış analizleri sonucunda da yaşanabiliyor. İlla imza tespitine de gerek yok.